I ricercatori di sicurezza informatica ucraini hanno dichiarato di avere prove di tentativi di attacchi da parte di un’operazione di hacking legata alla Russia che prendeva di mira un’entità ucraina nel luglio 2021.
Symantec, di proprietà di Broadcom, in un nuovo rapporto ha attribuito gli attacchi a un attore rintracciato come Gamaredon (alias Shuckworm o Armageddon), un collettivo di cyber-spionaggio noto per essere attivo almeno dal 2013.
Nel novembre 2021, le agenzie di intelligence ucraine hanno bollato il gruppo come un “progetto speciale” del Servizio di sicurezza federale (FSB) russo, oltre a puntare il dito contro di esso per aver effettuato oltre 5.000 attacchi informatici contro autorità pubbliche e infrastrutture critiche situate nel paese.
Gli attacchi Gamaredon in genere hanno origine con e-mail di phishing che inducono i destinatari a installare un trojan di accesso remoto personalizzato chiamato Pterodo. Symantec ha rivelato che, tra il 14 luglio 2021 e il 18 agosto 2021, sono stati installate diverse varianti della backdoor e ha distribuito script e strumenti aggiuntivi.
“La catena di attacco è iniziata con un documento infetto, probabilmente inviato tramite un’e-mail di phishing, che è stato aperto dall’utente della macchina poi compromessa”, hanno affermato i ricercatori. L’identità dell’organizzazione interessata non è stata rivelata.
Verso la fine di luglio, sono stati sfruttati l’impianto per scaricare ed eseguire un file eseguibile per un client VNC prima di stabilire connessioni con un server di controllo remoto per l’attacker.
“Questo client VNC sembra essere il software definitivo per questo attacco”, hanno osservato i ricercatori, aggiungendo che l’installazione è stata seguita dall’accesso a una serie di documenti che vanno dalle descrizioni dei lavori alle informazioni aziendali sensibili sulla macchina compromessa.
I risultati arrivano durante un’ondata di attacchi dirompenti e distruttivi commessi contro entità ucraine da presunti attori considerati vicini allo stato russo, con conseguente dispiegamento di un dispositivo di pulizia dei file soprannominato WhisperGate, più o meno nello stesso periodo in cui più siti Web appartenenti al governo sono stati attaccati.